《Oracle 11g数据库管理与开发基础教程 教学课件 袁鹏飞 第7章》由会员分享,可在线阅读,更多相关《Oracle 11g数据库管理与开发基础教程 教学课件 袁鹏飞 第7章(48页珍藏版)》请在金锄头文库上搜索。
1、在线教务辅导网:,教材其余课件及动画素材请查阅在线教务辅导网,QQ:349134187 或者直接输入下面地址:,本章知识点,用户管理; 概要文件管理; 权限管理; 角色管理。,第7章 安全管理,课程描述 对于数据库系统而言,保障数据安全至关重要。本章讲授Oracle数据库的用户和概要文件管理,以及权限和角色管理方法。,7.1 用户管理,Oracle数据库的用户包括两种类别: 预定义用户:如sys和system等. 这两个用户默认被授予DBA权限。sys用户是一个特殊的用户,它只能以SYSDBA身份登录,而不能像其他用户那样以普通用户身份登录。任何用户被授予SYSDBA权限后,在以SYSDBA身
2、份登录Oracle数据库后,均连接到SYS模式,而不是自己原来的模式; 自定义用户:管理员根据需要调用SQL语句CREATE USER建立的数据库用户。,7.1 用户管理,CREATE USER语句的语法格式是: CREATE USER 用户名 IDENTIFIED BY 口令 | EXTERNALLY | GLOBALLY PASSWORD EXPIRE ACCOUNT LOCK | UNLOCK TEMPORARY TABLESPACE 表空间 DEFAULT TABLESPACE 表空间 QUOTA 整数 K | M | UNLIMITED ON表空间 QUOTA 整数 K | M |
3、UNLIMITED ON表空间 . PROFILE 概要文件;,7.1 用户管理,CREATE USER语句中各子句的作用是: 用户名:为用户指定一个唯一的用户名。用户名不能超过30个字节,不能包含特殊字符,而且必须以字母开头; IDENTIFIED子句:这是CREATE USER语句中唯一必须输入的子句,它指出该用户所使用的验证方法。Oracle数据库支持的验证方法包括:数据库口令验证、外部验证和全局验证三种; PASSWORD EXPIRE:指出用户在首次登录后口令立即失效,强制要求用户必须立即修改口令后才能执行后续操作; ACCOUNT子句:指出所创建用户的帐户状态是锁定(ACCOUNT
4、 LOCK),还是开放(ACCOUNT UNLOCK)。默认时,所创建的用户处于开放状态。用户帐户被锁定后无法再连接数据库;,7.1 用户管理,CREATE USER语句中各子句的作用是: TEMPORARY TABLESPACE子句:为用户指定临时表空间。用户可以在其上创建临时对象,临时表空间没有限额设置; DEFAULT TABLESPACE子句:为用户指定默认表空间。但请注意,具有默认表空间并不意味着用户在该表空间上具有创建对象的权限,也不意味着用户在该表空间上具有用于创建对象的存储空间。这两项需要另外单独授权和设置; QUOTA子句:指出在指定表空间上可为用户分配的存储空间限额; PR
5、OFILE子句:为用户指定概要文件,以限制用户可使用的数据库资源量。,7.1.1 用户身份验证,CREATE USER或ALTER USER语句中的IDENTIFIED子句指出Oracle数据库用户可以采用以下三种验证方法: 数据库验证:用IDENTIFIED BY子句为用户指定一口令,该口令将存储在Oracle数据库的数据字典内。用户口令可以包含多字节字符,但长度限制为30个字节。从Oracle Database 11g开始,默认情况下它区分口令的大小写。但这可通过修改sec_case_sensitive_logon来改变; 外部验证:用IDENTIFIED EXTERNALLY子句创建外部
6、用户。外部用户依赖基础操作系统、网络验证服务等外部服务进行身份认证,他们在连接数据库时不必指定用户名和口令; 全局验证:用IDENTIFIED GLOBALLY子句创建全局用户。全局用户由Oracle高级安全选件中的企业目录服务(Oracle Internet Directory)验证用户身份。 采用外部认证或全局认证时,还必须在Oracle数据库内创建相应的外部用户或全局用户。这些用户对数据库的访问权限需在数据库内的授予。,1. 创建操作系统认证用户,创建外部认证用户(Windows系统下)的具体步骤是: 在Oracle数据库内创建外部用户。外部用户与操作系统当前登录用户同名,或在其上加一定
7、的前缀,这由初始化参数OS_AUTHENT_PREFIX决定,默认是加前缀“OPS$”; 为外部用户授予连接和访问数据库的权限; 修改注册表,要求在指定用户时不指定域名:将HKEY_LOCAL_MACHINESOFTWAREORACLE KEY_OraDb11g_ home1下OSAUTH_PREFIX_DOMAIN注册项值为FALSE; 确认Oracle NET配置文件SQLNET.ORA中的以下参数值设置为NTS:AUTHENTICATION_SERVICES,即允许采用操作系统认证。 执行SQL*Plus命令做连接测试:CONNECT /,2. 数据库管理员身份验证,普通用户可以采用数据
8、库认证、外部认证和全局认证三种方式,而具有SYSDBA、SYSOPER或SYSASM特殊权限的数据库管理员,则可使用以下三种认证方法: 口令文件认证:从v$pwfile_users中可以查询哪些用户采用这种认证方式; 操作系统认证:不能将SYSDBA、SYSOPER、SYSASM权限直接授予采用操作系统认证的用户,而应将他们加入到相应的操作系统用户组(如ORA_DBA、ORA_OPER)内; 基于网络的认证服务(如Oracle Internet Directory)认证。,2. 数据库管理员身份验证,数据库管理员究竟应该选用哪种认证方法,主要考虑是在本机还是远程管理数据库。Oracle数据库管
9、理员身份认证方案选择流程是:,3. 与用户相关的数据字典,7.1.3 删除用户,执行SQL语句DROP USER删除用户,其语法是: DROP USER 用户名 CASCADE; CASCADE选项说明在删除用户时先自动删除该用户模式下的所有对象,如果存在该用户的模式对象而又未指定该选项,将导致语句执行失败。 DROP USER语句无法删除当前已连接用户。如确有必要立即已连接用户,则需先让用户退出,或调用ALTER SYSTEM KILL SESSION语句强制关闭用户会话后再行删除。,7.2 概要文件,概要文件主要用于限制用户所使用的资源量,以及管理帐户状态和口令策略。创建概要文件后,管理员
10、通过CREATE USER/ALTER USER语句中的PROFILE子句将概要文件指派给用户,在Oracle数据库启用资源限制后,系统将按照概要文件的规定限制用户使用的资源等。,7.2.1 用概要文件管理资源,概要文件可在会话和调用两个级别上限制用户对CPU时间、逻辑读数量等系统资源的使用。 1.会话级资源限制 当会话使用的资源达到概要文件设定的会话级资源限制时,Oracle数据库会终止(回滚)当前语句(而不是事务)的执行,并返回一条错误消息,说明会话使用的资源已经达到了概要文件规定的限制。但当前事务内之前执行的所有语句不受影响。这时,用户可以执行的惟一操作是COMMIT、ROLLBACK,
11、或者断开连接。,7.2.1 用概要文件管理资源,概要文件中可使用的会话级资源限制参数如下: SESSIONS_PER_USER:每个用户帐户可建立的并发会话数; CPU_PER_SESSION:每个会话可使用的CPU时间,单位为秒/100; CONNECT_TIME:会话总的连接持续时间,单位为分钟; IDLE_TIME:允许会话连续空闲的时间,单位为分钟。长时间运行的查询和其他操作不受此限制影响; LOGICAL_READS_PER_SESSION:会话读取的数据块数量,这包括物理(磁盘)读和逻辑(内存)读; PRIVATE_SGA:指出共享服务器模式下在SGA共享池中可以为一个会话分配的专
12、用空间量; COMPOSITE_LIMIT:指出会话总的资源成本,其单位为服务单元。Oracle数据库根据LOGICAL_READS_PER_SESSION、 CPU_PER_SESSION、CONNECT_TIME和PRIVATE_SGA的权重和来计算服务单元。,7.2.1 用概要文件管理资源,2.调用级资源限制 执行一条SQL语句时,需要多次调用(解释、执行或提取)数据库。为了防止每次调用过分占用系统资源,可以使用以下参数设置每次调用可使用的资源量。如果使用的资源超过调用级资源限制,Oracle数据库将停止处理该语句,回滚它,并返回一条错误消息。但当前事务内此前执行的所有语句不受影响,用户
13、会话仍然保持连接。 CPU_PER_CALL:调用的CPU时间限制,单位为秒/100; LOGICAL_READS_PER_CALL:调用可读取的数据块数量。,7.2.2 用概要文件控制口令设置,用概要文件还能够设置用户的密码设置策略,这些口令参数包括: FAILED_LOGIN_ATTEMPTS:在连续登录尝试失败多少次之后锁定该帐户,默认为10次; PASSWORD_LOCK_TIME:账户在多次连续登录尝试失败之后被锁定的天数,默认为1天; PASSWORD_GRACE_TIME:首次成功登录到必须更改口令之间的宽限期(单位为天)。如果用户口令在宽限期之后还没修改,则会失效。宽限期的默认
14、值是7天; PASSWORD_LIFE_TIME:同一口令允许使用的天数,即口令的有效期,其默认值为180天。如果同时指定了password_grace_time参数,而在宽限期内没有改变密码,则密码会失效,将拒绝连接数据库;,7.2.2 用概要文件控制口令设置,PASSWORD_REUSE_TIME、PASSWORD_REUSE_MAX:二者分别指出用户在多少天之内不能重复使用口令,以及在可重复使用当前口令之前必须达到的口令修改次数; PASSWORD_VERIFY_FUNCTION:把一个用PL/SQL语言编写的口令复杂性验证脚本函数作为参数传递给CREATE PROFILE语句,以验证用
15、户所设置口令的复杂性是否符合要求。其值设置为NULL时说明不执行口令验证。口令验证函数必须为SYS用户所拥有,而且必须返回布尔值(TRUE或FALSE)。Oracle数据库在%ORACLE_HOME% rdbmsadmin目录中的 utlpwdmg.sql 脚本内提供了口令验证函数模型。,7.2.3 概要文件管理,1.创建/修改概要文件 CREATE/ALTER PROFILE语句创建/修改概要文件,其语法格式为: CREATE PROFILE 概要文件 LIMIT 资源参数设置 口令参数设置 ; 例如,下面语句创建的概要文件限制单个会话的持续时间不能超过3小时,连续空闲时间不能超过5分钟,用
16、户尝试登录连续失败5次后帐户被锁定1天: CREATE PROFILE app_users LIMIT CONNECT_TIME 180 IDLE_TIME 5 FAILED_LOGIN_ATTEMPTS 5;,7.2.3 概要文件管理,2.启用资源限制 概要文件中的口令参数始终是启用的,而资源参数设置则看通过设置resource_limit初始化参数来启用或关闭。这是一个动态参数,其设置后立即生效。例如: ALTER SYSTEM SET resource_limit=TRUE;,7.2.3 概要文件管理,3.为用户指定概要文件 调用CREATE/ALTER USER语句把已经创建的概要文件指派给用户。如果未为用户显式指派概要文件,Oracle将自动把default概要文件指派给他。每个用户只能指派一个概要文件,当指派新的概要文件时,它将自动替换原来的概要文件。 概要文件指派给用户后,它只影响该用户以后创建的会话,而对已经使用这个用户帐户创建的会话没有影响。 下面语句把概要文件app_users指派给用户scott: ALTER USER scott PROFILE app
